防盗链之基于springboot过滤器实现

防盗链之基于springboot过滤器实现

什么是盗链

内容不在自己的服务器上，通过技术手段将其他网站的内容（图片，音乐，软件等） 放置在自己的网站中，通过这种方式盗取其他网站的空间和流量，减轻自己服务器的负担。
举个例子我们服务器上有一个播放视频的地址，其他的网站用户就可以将我们的视频地址引用到他们的网站上，他们服务器实际没有任何开销，却能以此吸引用户！

什么是盗链

防盗链的原理

根本原理是基于HTTP协议中的Referer请求头，当浏览器向web服务器发送请求时， 一般会带上Referer请求头，告诉服务器请求时从哪个页面链接过来的，服务器以此可以获得一部分信息用于处理。
比如在我们的博客上放一个友情链接，他便能通过Referer来统计出每天有多少用户是通过我们的友链来访问他的网站。所以我们也能通过referer请求头来判断我们的链接是否被盗用。

注: 有时候一个http请求中是没有referer请求头的，例如直接在浏览器地址栏输入一个url；根据Referer的定义，他的作用是指示一个请求是从哪里链接过来，那么当请求并不是链接触发产生的，那么自然也就不需要指定referer请求头信息。

防盗链实现

防盗链的实现方式有很多种，这里我们主要介绍springboot中防盗链的实现，因为我们的接口程序也有一些是需要对外开放的，但是我们并不想或者是说想更自由的去处理防盗链。springboot中也有很多种方式实现此功能，过滤器，拦截器，切面等等，
但是我更推荐使用过滤器来实现，因为所有请求最先进入的就是过滤器。具体实现逻辑就是使用过滤器实现，具体逻辑请参考我们的代码。

实现代码

1. 创建防盗链过滤器

import com.fasterxml.jackson.databind.ObjectMapper;
import org.apache.http.HttpStatus;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.http.HttpHeaders;
import org.springframework.http.MediaType;

import javax.servlet.FilterConfig;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

/**
 * 防盗链过滤器
 *
 * @author Lengff
 * @version 1.0
 * @date 2021-11-11 10:53
 */
public class RefererFilter implements Filter {
    private Logger log = LoggerFactory.getLogger(RefererFilter.class);

    public static final String REFERER_WHITE_KEY = "refererWhiteKey";
    // 链接白名单
    private String[] refererWhite;

    @Override
    public void init(FilterConfig filterConfig) {
        String refererWhites = filterConfig.getInitParameter(REFERER_WHITE_KEY);
        if (refererWhites != null && !"".equals(refererWhites)) {
            refererWhite = refererWhites.split(",");
        }
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        if (isSafe((HttpServletRequest) servletRequest)) {
            filterChain.doFilter(servletRequest, servletResponse);
        } else {
            handleResponse((HttpServletResponse) servletResponse);
        }

    }

    @Override
    public void destroy() {

    }

    /**
     * 判断请求是正确
     *
     * @param request
     * @return
     */
    private boolean isSafe(HttpServletRequest request) {
        if (refererWhite == null || refererWhite.length < 1) {
            // 未设置任何链接,表示所有来源都可以访问
            return true;
        }
        String referer = request.getHeader("referer");
        if (referer == null || "".equals(referer)) {
            // 获取不到防盗链头部信息 -> 拦截
            return false;
        }
        for (String white : refererWhite) {
            if (white.contains("*.")) {
                // 这里处理*.xxx.com,表示xxx.com下的所有二级域名均可访问,所以就截取掉'*.'符号
                white = white.replace("*.", "");
            }
            // 这里就简单的判断referer请求头中的链接是否包含我们白名单中的域名
            if (referer.contains(white)) {
                return true;
            }
        }
        return false;
    }

    /**
     * 处理相应数据
     *
     * @param response
     */
    public void handleResponse(HttpServletResponse response) {
        // 访问链接有问题
        try {
            Map resultMsg = new HashMap<>();
            resultMsg.put("code", String.valueOf(HttpStatus.SC_FORBIDDEN));
            resultMsg.put("msg", "资源不允许");
            ObjectMapper objectMapper = new ObjectMapper();
            String msg = objectMapper.writeValueAsString(resultMsg);
            response.setHeader(HttpHeaders.CONTENT_TYPE, MediaType.APPLICATION_JSON_UTF8_VALUE);
            response.setStatus(HttpStatus.SC_INTERNAL_SERVER_ERROR);
            response.getWriter().write(msg);
        } catch (IOException e) {
            log.error("防盗链过滤器处理response失败", e);
        }
    }

}

2. 配置过滤器

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;

import java.util.HashMap;
import java.util.Map;

/**
 * 过滤器配置
 *
 * @author Lengff
 * @version 1.0
 * @date 2021-11-11 10:52
 */
@Configuration
public class FilterConfig {

    /**
     * 注册防盗链过滤器
     *
     * @return
     */
    @Bean
    public FilterRegistrationBean registrationRefererFilter() {
        RefererFilter refererFilter = new RefererFilter();
        FilterRegistrationBean registrationBean = new FilterRegistrationBean<>();
        registrationBean.setName(RefererFilter.class.getName());
        registrationBean.setFilter(refererFilter);
        // 拦截url规则(这里拦截全部)
        registrationBean.addUrlPatterns("/*");
        Map initParam = new HashMap<>();
        // 配置链接白名单,逗号分隔 (这里我们可以在配置文件中配置)
        initParam.put(RefererFilter.REFERER_WHITE_KEY, "www.baidu.com,www.qq.com");
        registrationBean.setInitParameters(initParam);
        // 设置优先级(默认最高优先级)
        registrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE);
        return registrationBean;
    }
}

总结

我这里讲的是最简单的防盗链，现实情况时还有很多反防盗链，要做到绝对的防盗链还是要根据实际使用情况结合自身情况出发。